Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla lost kritieke kwetsbaarheid op in Firefox die actief wordt misbruikt

Mozilla heeft een update voor Firefox 67 uitgebracht na de ontdekking van een kritieke kwetsbaarheid die actief wordt misbruikt. Gebruikers wordt aangeraden om zo snel mogelijk te updaten. In versie 67.0.3 is het beveiligingslek opgelost.

Op zijn website maakt Mozilla een korte melding van het beveiligingslek. Het gaat om een zerodaykwetsbaarheid die volgens de browsermaker actief wordt misbruikt. Beveiligingsonderzoeker Samuel Groß van Google Project Zero en het Coinbase Security-team staan vermeld als ontdekkers van het lek.

Groß zegt tegenover ZDNet dat het lek remote code execution mogelijk maakt, maar er moet los daarvan nog een andere sandbox escape gebruikt worden om code uit te kunnen voeren op het besturingssysteem van het slachtoffer. Volgens de onderzoeker kan het lek waarschijnlijk ook misbruikt worden voor universal cross-site scripting.

Mozilla geeft geen details over de aanvallen die worden uitgevoerd. Omdat het lek mede gemeld is door het beveiligingsteam van Coinbase, is het denkbaar dat het gaat om aanvallen gericht op eigenaren van cryptomunten. Google-onderzoeker Groß zegt geen details te weten over het misbruik. Hij heeft het lek op 15 april gevonden en aan Mozilla gemeld. De Firefox-maker heeft de bug opgelost in versie 67.0.3 van de browser.

Door Julian Huijbregts

Nieuwsredacteur

19-06-2019 • 17:20

28 Linkedin Google+

Submitter: dotnes

Reacties (28)

Wijzig sortering
Let op! TOR browser is in tegenstelling tot de reguliere Firefox nog niet bijgewerkt. Dat betekent dat je met de TOR browser in theorie nog vatbaar voor deze aanval(len).
Tip: totdat er een versie uitkomt gebaseerd op FF60.7.1esr, zorg dat je op Security Level "Safest" zit, zodat JavaScript nooit wordt uitgevoerd in je browser.
"Tor Browser 8.5.2 is now available from the Tor Browser Download page [...]
This release is fixing a critical security update [3] in Firefox. In addition we update NoScript to 10.6.3, fixing a few issues." :)
Websites zonder javascript? Dat kan tegenwoordig niet meer hoor.
Hij heeft het over websites op Tor. Veel van die sites worden gemaakt rekening houdend dat de meeste bezoekers geen JavaScript uitvoeren. Websites zonder JavaScript kunnen dus nog steeds zolang je hiermee rekening houdt. Ze zullen wel niet zo functioneel zijn als sites mét JavaScript, maar het werkt en het is vooral veilig. Dat is wat telt bij Tor.
Is dat niet sowieso een "regel" van TOR, dat Javascript het gevaarlijkste is in die omgeving qua tracking / safety?
Klopt ik denk dat geen enkele site die ik bezoek dan nog volledig navigeerbaar zal zijn. Het is jammer, want Javascript wordt zoveel misbruikt en het creëert zo nu en dan sowieso een frustrerende ervaring. Ook zonder Javascript zou de meeste content nog steeds prima geconsumeerd moeten kunnen worden.
ja inderdaad met umatrix werken alle drop down menu´s niet meer en verwijs knoppen en dergelijke. naja meestal moet ik dan gstatic googleapis cdn en dergelijke activeren.
Dat is super waar en ook super triest.
Waarom is dat triest? Het is triest dat het zo lek is, niet om het te gebruiken waarvoor het gemaakt is.
Firefox ESR op Debian Stretch heeft die fix: https://security-tracker.debian.org/tracker/firefox-esr

JavaScript in Tor Browser uitvoeren is hoe dan ook discutabel...
15 april gemeld en dan pas na 2 maanden patch.
Als het een zero day is dan volgens het artikel actief gebruikt wordt lijkt me 2 maanden toch echt lang voor een patch.
Soms is het maken van een patch zo makkelijk nog niet. Het kan voorkomen dat hele onderdelen nagekeken moeten worden of zelfs herschreven mogen worden. Het daadwerkelijke probleem kan ook in kritieke onderdelen zitten waardoor het test traject wel eens erg ellendig kan worden.

2 maanden is afhankelijk van de situatie best schappelijk. 3 maanden is de norm en langer is ook niet ongehoord.
15 april gemeld en dan pas na 2 maanden patch.
Er lijkt toch iets aan gedaan te zijn op 8 Mei 2019

Opvallend is dat Pale Moon er niet vatbaar voor lijkt te zijn.
Of de exploit is geïntroduceerd door implementatie van Australis of Quantum. Of het zat al in de Firefox 24.x codebase, maar hebben de Pale Moon ontwikkelaars tijdens een cleanup de code verwijderd of gefixt.

[Reactie gewijzigd door RoestVrijStaal op 19 juni 2019 19:43]

> is geïntroduceerd door implementatie van Australis of Quantum.

Beetje kort door de bocht, er zijn meer ontwikkelingen geweest dan alleen dit aan Firefox. Daarnaast ben ik wel benieuwd hoe de ontwikkelaar van pale moon dit zo stellig kan beweren. Volgens mij zitten er maar één of twee ontwikkelaars op het pale moon project en ik vraag me af of ze zo grondig de code base kunnen afpluizen om dit zo stellig neer te zetten.
> is geïntroduceerd door implementatie van Australis of Quantum.

Beetje kort door de bocht, er zijn meer ontwikkelingen geweest dan alleen dit aan Firefox. Daarnaast ben ik wel benieuwd hoe de ontwikkelaar van pale moon dit zo stellig kan beweren.
En daarom zei ik:
Opvallend is dat Pale Moon er niet vatbaar voor lijkt te zijn.
niet vatbaar voor lijkt te zijn.
lijkt te zijn.
lijkt
Ik had zelf ook liever gezien dat er een website o.i.d. was om te testen of je browser vatbaar is.
Volgens mij zitten er maar één of twee ontwikkelaars op het pale moon project en ik vraag me af of ze zo grondig de code base kunnen afpluizen om dit zo stellig neer te zetten.
There we go again.

Ja, het is een minder aantal ontwikkelaars dan het aantal dat aan Firefox werkt. Maar de stelling één of twee ontwikkelaar(s) is niet waar.

Merk ook op dat bij Pale Moon meer code verwijderd of gerefacted wordt, i.t.t. Firefox waarin just meer code toegevoegd of domweg vervangen wordt.

[Reactie gewijzigd door RoestVrijStaal op 19 juni 2019 20:07]

Ja, het is een minder aantal ontwikkelaars
74 waarvan 14 met meer dan een handvol commits en 5 er echt substantieel bijdragen vind ik nou niet echt een overtuigend argument als je het tegen je andere link aanhoud. Browsers tegenwoordig zijn geen eenvoudige applicaties en het is verdomd lastig om als een klein de ontwikkelingen bij te houden en beveiliging op orde. En ook als je kijkt naar de laatste commits is er toch echt sprake van grotendeels een een mans project waar zo af en toe mensen bijspringen.

Dat is verder helemaal prima, maar ik vind het dan wel een erg stellige claim om te zeggen dat het niet in de pale moon code zit en vervolgens tussen neus en lippen door te zeggen dat ze de komende tijd nog wel extra naar de code gaan kijken. Dat lijkt meer op "Ik denk dat wij er geen last van hebben maar ik moet het nog controleren"....
Als je javascript blokkeert ben je neem ik aan wel gewoon veilig? Als in, als er sowieso geen scripts draaien dan kan het ook niet cross-site?
Meestal wel ja, maar ik neem aan dat je niet alle javascript blokkeert om websites werkend te houden. :)
Je claimt dat je eigen software veilig is. Dat is zo'n beetje het meest gedurfde wat je maar kan zeggen. Extraordinary claims require extraordinary proof enz enz.
Welke software volgens jou is 100% veilig?
hello world is waarschijnlijk wel veilig

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True